Информацию обнародовала компания Cisco Talos, специализирующаяся на кибербезопасности, сообщает AIN.
Специалисты сравнили атаку ZeuS с вирусом NotPetya, который распространялся через бухгалтерские программы украинского разработчика MEDoc.
В отличие от NotPetya, в данном случае вредоносный вирус распространяется не через уязвимый сервер, а через сайт компании CFM. Жертв заражали по электронной почте. В письмах содержался ZIP-архив с файлом JavaScript, работавший как загрузчик, через который вредоносный вирус поступал в систему с домена, связанного с сайтом CFM.
Оказавшись на компьютере, вирус активировал перманентный спящий режим, в противном случае создавался запись реестра для обеспечения выполнения при каждом запуске системы. Далее программа пыталась подключиться к различных C&C-серверов. В рамках расследования инцидента специалисты зафиксировали 11 925 626 попыток связаться с сервером от 3216 уникальных IP-адресов.
Атака трояна состоялась в период празднования Дня Независимости Украины в конце августа 2017 года. Ей было подвергнуто свыше 3 тыс. компьютеров, преимущественно, компаний из США и Украины. Наибольшее распространение трояна произошло среди абонентов "Укртелекома".